www.MegaLab.it

[paoLo.noWar]

Ciao amici di Zane!

rieccomi da voi per un problema...
sul mio portatile (SO winXP pro) da più di un anno ormai navigo con Mozilla, attualmente ho insatallato l'ultima versione, e mi difendo sia con AntiVir che aggiorno ogni 15 giorni, che con spybot ed ad-aware.
Da una decina di giorni però succede che (pur avendo pulito il portatile con Antivir, Spybot e AdAware) appena mi collego alla rete si apre IE sulla barra delle applicazioni indicando il sito Rimosso indirizzo per sicurezza , sito che comunque non trova (comunicandomi "impossibile trovare il server").
Inoltre una volta su cinque una finestra di dialogo di Antivir mi comunica cosa fare di un trojan, che se ricordo bene, spesso cambia nome;a qto punto io indico "deny" ma poco cambia: la navigazione appare molto lenta e spessissimo mozilla e IE appena dato l'invio alla pagina mi dicono di non averla trovata.
Ieri sera, come ultima cosa, il piccolo mi si è anche spento da solo - dandomi per fortuna 60 secondi di preavviso.....
Cosa posso fare? se avete bisogno di maggiori info chiedete!.....

Grazie!



paOLO

[Xerex]

ciao bentornato...ti consiglio di leggere questo articolo e di farci sapere i risultati della scansione:
http://www.MegaLab.it/2286

[Mr.TFM]

Sposterei in "Sicurezza" tra le sapienti mani del saggio Crazy!

[crazy.cat]

O anche una bella scansione dei virus dalla modalità provvisoria
http://www.MegaLab.it/2333
Ho rimosso il link dell'indirizzo che avevi inserito, visto che quando ho provato dove puntava voleva installarmi a tutti i costi una qualche schifezza di Dialer o trojan.
Facci sapere notizie.

[paoLo.noWar]

fatta la semplice scansione con HijackThis che riporta:

Logfile of HijackThis v1.99.0
Scan saved at 19.37.15, on 18/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
C:\Windows\System32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\atiptaxx.exe
C:\Programmi\Compaq\EAB\EabServr.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Windows\System32\hllcxpa.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\Windows\System32\YPager.EXE
C:\Windows\System32\ctfmon.exe
C:\Programmi\mozilla.org\Mozilla\Mozilla.exe
C:\Windows\System32\winampa.exe
C:\Documents and Settings\paOLO\Menu Avvio\Programmi\Esecuzione automatica\SmartClock.exe
C:\Windows\System32\wuauclt.exe
C:\Programmi\ZipGenius\zipgenius.exe
C:\ZGtemp\183153\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.peacelink.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HLL Data Parameter] hllcxpa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [uUiQkYp] C:\Windows\System32\epgaouvf.exe
O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\Run: [Messenger] C:\Windows\System32\winampa.exe
O4 - HKLM\..\Run: [System Update] C:\Windows\System32\qboioi.exe
O4 - HKLM\..\RunServices: [ZipGenius Clean] "C:\Windows\zg.exe" -cleantemp
O4 - HKLM\..\RunServices: [HLL Data Parameter] hllcxpa.exe
O4 - HKLM\..\RunServices: [uUiQkYp] C:\Windows\System32\epgaouvf.exe
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programmi\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [HLL Data Parameter] hllcxpa.exe
O4 - HKCU\..\RunServices: [HLL Data Parameter] hllcxpa.exe
O4 - Startup: SmartClock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... ge-c46.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: MpService - Canon Inc. - C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE

trovato qualcosa di anomalo?

per la scansione suggerita da crazy.cat ho il timore che mcafee entri in conflitto con antivir...eventualmente mi conviene disinstallarlo prima?

thanks a lot,
paOLO

[crazy.cat]

http://ae.trendmicro-europe.com/enterpr ... M_RBOT.AFG
O4 - HKLM\..\Run: [HLL Data Parameter] hllcxpa.exe
O4 - HKLM\..\Run: [Messenger] C:\Windows\System32\winampa.exe

Sconosciuti
O4 - HKLM\..\Run: [uUiQkYp] C:\Windows\System32\epgaouvf.exe
O4 - HKLM\..\Run: [System Update] C:\Windows\System32\qboioi.exe

Non disinstallare il tuo antivirus e scangui non và in contrasto con niente è un aggiunta e non installa niente.

[paoLo.noWar]

vediamo se ho capito bene:

hllcxpa.exe lo posso eliminare con la procedura mauale indicata sul link dove però di winampa.exe non se ne parla: devo comportarmi alla stessa maniera?

nel link vengono indicate alcune procedure manuali:
_ Terminating the Malware Program
_ Removing Autostart Entries from the Registry
_ Removing Other Malware Entries from the Registry
_ Restoring Modified Registry Entries
_ Running TREND MICRO Antivirus
quale devo eseguire?
in quale momento dovrò disabilitare il System Restore di XP come indicato nel link?


paOLO

[crazy.cat]

X winampa.exe non ritrovo più il link giusto.
Comunque segui le stesse procedure.

Disabiliti il ripristino della configurazione.
Riavii il pc in modalità provvisoria.
Cancelli le chiavi nel registro che riguardano quei file e i file exe stessi dal tuo pc.
Fai la scansione con scangui perché potrebbero esserci degli altri file infetti.
Riavii, rifai la scansione con hijackrthis e controlli che siano sparite tutte le voci incriminate.

[paoLo.noWar]

..rieccomi!

allora, nel frattempo ho trovato un paio di programmini ( CWShredder e StartPage Guard) che hanno risolto il problema di IE che si apriva collegandomi a siti molto poco interessanti...bene, però adesso AntiVir mi comunica appena si apre XP della presenza di due worm:

nel file HLLCXPA.EXE -> worm/rBot.78848
nel file VSP32.EXE -> worm/wurmark.D.2.1

Che devio fare?
Antivir mi dà diverse possibilità di scelta, io finora ho cliccato su quella di default (deny), ma se cliccassi su delete file comprometto il pc?

per quanto riguarda l'ultimo msg, invece, scusami crazy.cat, ma purtroppo non ho capito bene, non mi intendo molto di chiavi e di ripristino....
ah!..inoltre la versione di Scangui che ho scaricato aveva dei problemi e mi dava subito errore all'avvio...ci riproverò!

Ciao!

paolo

[crazy.cat]

Disabiliti il ripristino della configurazione
http://www.MegaLab.it/2330

Riavii il pc in modalità provvisoria premendo F8 all'avvio del pc e li rifai la scansione con antivir e cancelli tutti i virus che ti trova, uno dei due c'era già da prima,cancella senza problemi anche l'altro.

che problemi ti dava Scangui?

Avevo dimenticato di ditri di cancellare queste righe dal log di hijackthis

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

[paoLo.noWar]

tutto fatto (a suo tempo) ed il pc mi è ripartito come nuovo...fino a stanotte...


il problema, già verificatosi in passato è legato al firewall Outpost: alcune volte non riesco ad accedere alle pagine internet fino a quando non lo disattivo...ed è proprio quello che ho fatto ieri per cinque minuti durante i quali il computer mi si è proprio bloccato, come se qualche lamer (si dice così?) mi avesse voluto fare uno scherzo!....niente di grave se non fosse che era ttre ore che ci lavoravo senza salvare (stavo scrivendo una mail piuttosto ragionata sulle tariffe di cellulari e telefonia fissa...mica ci pensavo!...)
A cosa può essere dovuto il pbl di connessione, che tra l'altro non succede tutti i giorni? vi ripeto, appena disattivo outpost tutte le pagine che non trovava prima (dal corriere a tin.it, ecc) me le trova...
Inoltre (proprio adesso gli sto facendo fare la scansione con Antivir dalla modalità provvisoria) sono afflitto da virus e trojan, come mai mi era successo in passato...


un saluto!

paOLO

ps: scangui non mi ricordo che problemi mi dava, quando lo riavvio vi dico!

[paoLo.noWar]

ecco i logfile delle ultime scansioni di Hijackthis e di Antivir:


Logfile of HijackThis v1.99.0
Scan saved at 15.47.48, on 15/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Programmi\^ file .EXE\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/0410/bF8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/2Q00CPT/0410/bF7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [uUiQkYp] C:\Windows\System32\chsgspwqyximqc.exe
O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\Run: [Messenger] C:\Windows\System32\winampa.exe
O4 - HKLM\..\Run: [System Update] C:\Windows\System32\qboioi.exe
O4 - HKLM\..\Run: [VSP32 Controls] vsp32.exe
O4 - HKLM\..\Run: [zSPGuard] c:\programmi\pjw\spguard\spguard.exe /s
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programmi\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [ZipGenius Clean] "C:\Windows\zg.exe" -cleantemp
O4 - HKLM\..\RunServices: [uUiQkYp] C:\Windows\System32\chsgspwqyximqc.exe
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\RunServices: [VSP32 Controls] vsp32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... ge-c46.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: FreePOPs - Unknown - C:\Programmi\FreePOPs\freepopsservice.exe
O23 - Service: MpService - Canon Inc. - C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: Remote Procedure Call (RPC) Manager - Unknown - C:\Windows\System32\noname.exe


Antivir (la parte relativa ai virus):


C:\WINDOWS\Temp
~4.tmp
[DETECTION] The Trojan horse TR/Proxy.Bobax.H.1
WAS DELETED!
~5.tmp
[DETECTION] The Trojan horse TR/Proxy.Bobax.H.1
WAS DELETED!
~8.tmp
[DETECTION] The Trojan horse TR/Proxy.Bobax.H.1
WAS DELETED!
~9.tmp
[DETECTION] The Trojan horse TR/Proxy.Bobax.I.1
WAS DELETED!
~A.tmp
[DETECTION] The Trojan horse TR/Proxy.Bobax.J
WAS DELETED!
~B.tmp
[DETECTION] The Trojan horse TR/Proxy.Bobax.J
WAS DELETED!


aggiungo che utilizzo la versione freeware di Outpost.

Grazie!

p.

[crazy.cat]

Disattiva il ripristino della configurazione e riavvia il pc
http://www.MegaLab.it/2330
e poi ti conviene passare a questa soluzione
http://www.MegaLab.it/2166

i candiati visibili sono questi
O4 - HKLM\..\Run: [uUiQkYp] C:\Windows\System32\chsgspwqyximqc.exe
O4 - HKLM\..\Run: [Messenger] C:\Windows\System32\winampa.exe
O4 - HKLM\..\Run: [System Update] C:\Windows\System32\qboioi.exe
O4 - HKLM\..\Run: [VSP32 Controls] vsp32.exe
O4 - HKLM\..\RunServices: [VSP32 Controls] vsp32.exe
O4 - HKLM\..\RunServices: [uUiQkYp] C:\Windows\System32\chsgspwqyximqc.exe
O23 - Service: Remote Procedure Call (RPC) Manager - Unknown - C:\Windows\System32\noname.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... ge-c46.cab


Come patch sicurezza e Sp come siamo messi?

[paoLo.noWar]

"i candiati visibili sono questi" cosa vuol dire??

:)


"Come patch sicurezza e Sp come siamo messi?"

le patch sono gli aggiornamenti di windows, no? allora sono fermo all'originale del CD: provai quest'estate ad installare gli aggiornamenti che avevo scaricato ma alla fine dovetti riformattare tutto e non mi arrischiai a installare gli aggiornamenti di nuovo... inoltre ho letto alcune considerazioni scettiche sull'utilità e bontà dell'XP service pack 2.

...l'sp che cosè?


ciao!

paOLO

[crazy.cat]

I candidati virus visibili, ormai cerco di cambiargli nome ogni tanto.
sp=service pack

quindi senza patch e service pack il tuo pc è come una porta aperta quando giri su internet, può passare un bel mucchio di tipi di virus.

[paoLo.noWar]

mi pare di capire che mi consigli assolutamente di installare il sp2, o mi sbaglio?...la cosa mi pesa un po' anche per la necessità di fare il back.up di alcuni Giga di file....non cè qualche programmino che mi permette di fare agevolmente questo lavoro? il fatto è che non faccio il programmatore di lavoro, ma il portatile mi serve lo stesso!....

e per quanto riguarda i "candiati" che faccio?, li seleziono su hijack e li fixo tutti?

O4 - HKLM\..\Run: [uUiQkYp] C:\Windows\System32\chsgspwqyximqc.exe
O4 - HKLM\..\Run: [Messenger] C:\Windows\System32\winampa.exe
O4 - HKLM\..\Run: [System Update] C:\Windows\System32\qboioi.exe
O4 - HKLM\..\Run: [VSP32 Controls] vsp32.exe
O4 - HKLM\..\RunServices: [VSP32 Controls] vsp32.exe
O4 - HKLM\..\RunServices: [uUiQkYp] C:\Windows\System32\chsgspwqyximqc.exe
O23 - Service: Remote Procedure Call (RPC) Manager - Unknown - C:\Windows\System32\noname.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... ge-c46.cab

grazie!

pa

[crazy.cat]

Codice: Seleziona tutto

mi pare di capire che mi consigli assolutamente di installare il sp2

Si, ma non come aggiornamento che poi ti può creare altri caos, ma come reinstallazione da zero creando un cd con il sp2 già integrato, segui queste istruzioni http://www.MegaLab.it/2130/2

Può non bastare eliminare semplicemente le voci con hijack è meglio fare una bella pulizia dei virus perché sono parecchi.

[paoLo.noWar]

un po' di aggiornamenti x crazi.cat (che saluto e ringrazio) e soci:


1_ ho creato il file iso di XP con SP2 integrato ma non sono riuscito a masterizzarlo su cd, per ora il file è sull'hard disc con i suoi 745.000 kb di peso.


2_ un nuovo messaggio mi saluta all'accensione, mentre sta caricando xp:

"
WINLOGON.EXE immagine danneggiata

L'applicazione o DLL C:\windows\system32\SHSVCS.dll non è un'immagine valida di Windows. Verificare con il dischetto di installazione.

[OK]
"
conseguenze pratiche: solo la barra degli strumenti ed il menù start che non sono più "belli" come prima, nulla di più, però non vorrei ci fossero altre complicazioni...


3_ mentre facevo una pulizia radicale fatta "a modino" dalla modalità provvisoria con il "ripristino" disattivato, l'antivirus mi comunica che il file cfwa.exe non può essere cancellato o riparato perché contenuto in un archivio.


4_ Logfile of HijackThis v1.99.0
Scan saved at 19.24.26, on 16/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\FreePOPs\freepopsservice.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Windows\System32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\atiptaxx.exe
C:\Programmi\Compaq\EAB\EabServr.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Windows\System32\YPager.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Windows\System32\ctfmon.exe
C:\Documents and Settings\paOLO\Menu Avvio\Programmi\Esecuzione automatica\SmartClock.exe
C:\Programmi\Canon\MultiPASS4\MPDBMgr.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Programmi\^ file .EXE\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.peacelink.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\Run: [zSPGuard] c:\programmi\pjw\spguard\spguard.exe /s
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programmi\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [ZipGenius Clean] "C:\Windows\zg.exe" -cleantemp
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\RunServices: [VSP32 Controls] vsp32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [VSP32 Controls] vsp32.exe
O4 - HKCU\..\Run: [HLL Data Parameter] hllcxpa.exe
O4 - HKCU\..\RunServices: [HLL Data Parameter] hllcxpa.exe
O4 - Startup: SmartClock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (HKCU)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: FreePOPs - Unknown - C:\Programmi\FreePOPs\freepopsservice.exe
O23 - Service: MpService - Canon Inc. - C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe



stop.

mi piacerebbe portare a termine questa faccenda, ce la faremo???!!!???


a presto,

paOLO

[xenius]

hai provato a fare una scansione con STINGER?

[crazy.cat]

Molto strana quell'immagine Iso così grande....Sei il primo a cui succede.
Hai provato a rifarla?

Se proprio non riesci a fare l'immagine giusta, rifai l'installazione solo con il Sp1 e poi aggiorni subito al Sp2
Da qui puoi scaricarti le patch prima di formattare le salvi su cd e poi le installi prima di ricollegarti ad internet
Windows Xp

prima di collegarti, dopo aver formattato installati un firewall e l'antivirus.

Buona formattazione.
E' due mesi che ti porti avanti il problema,io non resisterei due giorni con dei virus nel pc prima di cancellare tutto quanto.